Cisco路由器ACL配置实现网络安全的策略.docVIP

Cisco路由器ACL配置实现网络安全的策略 　　摘 要：随着中小企业信息化水平的不断提高，中小企业信息安全问题越来越为严重，针对大型企业提供的信息安全技术和设备，虽然能为中小企业提供相应的信息安全能力，但其专业性较强、成本较高，增加了中小企业的负担。ACL技术即访问列表控制技术，仅需利用路由器即可实现网络安全控制，成本低廉实现简单，能很好的满足中小企业信息安全的需要，具有极高的应用价值。本文以Cisco路由器为例，就如何通过ACL配置利用路由器实现网络安全策略进行探讨，可供中小企业借鉴。 　　关键词：Cisco路由器；ACL配置；网络安全；访问控制 　　中图分类号：TP393.08 　　信息化技术能有利的提升企业经营效率，是整个社会经济发展的必由之路。近年来，我国中小企业信息化水平得到了极大的提高，大多数中小企业都构建起了自身的网络系统，运用计算机技术、网络技术、信息化技术进行企业经营管理，对促进我国中小企业竞争能力的提升起着重要作用。 　　1 ACL技术基本原理 　　1.1 ACL技术实现途径 　　ACL技术是利用路由器和交换机接口的指令列表，来控制端口进出数据包的技术。这种技术适用于所有被路由协议之中，仅需要对访问控制列表进行关系匹配、条件查询，即可进行访问控制。这种技术是一种包过滤技术，通过读取包头信息与定义好的匹配规则进行比较实现包过滤，允许和拒绝相应的访问，从而达到访问控制的需要。在ACL工作过程中，当收到数据包后路由器先对数据包进行检查，如果数据包可路由则通过访问控制列表找出接口，如果该出口没有被编入ACL则直接从该口送出，如果被编入ACL则进行匹配执行，进行相应的处理。 　　1.2 ACL技术常见类型 　　目前常用的ACL技术可分为标准访问控制列表和扩展访问控制列表两类，进一步可细分为标准IP访问控制列表、扩展IP访问控制列表、命名IP访问控制列表三种。标准访问列表控制级别相对较低，只根据分组内源地址或一部分进行控制，编号范围在1-99之间。扩展IP访问控制列表拥有更多匹配项，包括源地址、源端口、目的地址、目的端口、IP优先级、协议类型等，扩充性和灵活性更强，其编号在100-199之间。命名IP访问控制列表则是以列表名来代替IP编号，这种方式突破了99个标准列表和100个扩展列表的数目限制，能直观的反映访问列表完成的功能，扩展较为容易。 　　1.3 ACL技术实现规则 　　在ACL配置中极为灵活，应用中必须注意一些基本规则。在权限赋予中，只能给予受控对象完成任务所需的最小权限，如果只是满足部分条件则访问拒绝。在访问控制过程中，ACL匹配是采用自上而下逐条匹配的方式，当发现符合条件时则立即执行，而不会继续对下面的ACL语句进行检测，因此要保证匹配规则最靠近受控对象。在ACL语句中，默认的最后一条是丢充所有不符合条件的数据包，采用默认丢弃原则，在实际应用中要根据需要进行修正，避免造成不必要的问题。同时，ACL所采用的是包过滤技术，其过滤依据为第三层和第四层包头信息，对具体个人、权限级别等的识别能力不足，在实际应用中还需要结合其它访问权限控制策略共同进行，而不能仅依靠ACL技术来进行网络安全管理。 　　2 Cisco路由器ACL配置实践 　　2.1 案例简介 　　某企业将网络结构分为客户接待和管理层两部分，应用企业内部服务器进行企业信息管理。企业内部所有接入企业内网的计算机都可以联网，客户接待部计算机与管理层计算机之间、路由器之间均可以互相访问。客户机不能直接访问企业内部服务器，管理层可以访问企业内部服务器，但不同管理职能部门，包括如财务部、业务部等所的访问权限需要进行控制，外网对企业内部服务器的访问权限也需要进行控制。该企业路由器采用Cisco1841，有服务器一台，客户接待部计算机8台，管理层计算机12台，管理层计算机分为4个部门，网络拓扑结构如图1： 　　图1 　　2.2 ACL配置分析 　　在该企业中，路由器以端口E0连接行政部，网段为；以端口E1连接人事部，网段为；以端口E2连接财务部，网段为；以端口E3连接后勤部，网段为；以端口E4连接客户接待部，网段为；以端口E5连接服务器，网段为。路由器E0-E5端口IP地址分别为、、、、、。其中，行政部计算机三台，IP地址分别为1、2、3；人事部计算机两台，IP地址分别为1、2；财务部计算机四台，IP地址分别为1、2、3、4；后勤部计算机三台，IP地址分别为1、2、3；客户接待部计算机八台，IP地址分别为1-8；服务器两台，IP地址分别为1和2。需要利通过路由器利用ACL配置，来实现企业的网络安全策略，对行政部、财务部、人事部、后勤部、客户接待部对网络和数据安全的不同要求进行安全控制。由于篇幅原因，本文仅只对部分ACL配置进行概述